Är du medveten om dessa utmaningar?
Den förbättrade säkerheten som 5G innebär, ställer högre krav på operatörerna:
- Skydda de tätt placerade basstationerna mot hot som spårning av mobilenheter, samtalsavlyssning, frekvensblockering, angrepp på fysiska basstationer samt överbelastning.
- Implementera TLS-baserad ömsesidig autentisering och transportsäkerhet mellan nätverksfunktioner (NFs) i 5Gs tjänstebaserade arkitektur (Service-Based Architecture, SBA) som den specificeras av 3GPP.
- Automatisera livscykelhanteringen av certifikat för nätverksfunktionerna (NFs) för att hantera de frekventa uppdateringar som continuous deployment-strategier innebär.
- Skydda virtualiseringsplattformar med PKI
- Använda PKI för Subscription Concealed Identifier (SUCI)
SÄKRA BASSTATIONER
Eftersom basstationer och celler finns i oskyddade områden i 5G-nätverk, måste kommunikationen med Core-nätet säkras för att säkerställa konfidentialitet och integritet och förhindra angrepp på oskyddade kommunikationslänkar.
Nätverkskomponenterna som kommunicerar över det oskyddade nätverket använder stark public key-autentisering baserad på maskincertifikat. Certifikaten efterfrågas och förnyas ofta från företagets certifikatutfärdare (CA), oftast med hjälp av standardprotokollen Simple Certificate Enrolment Protocol (SCEP) och Certificate Management Protocol (CMP).
SÄKER KOMMUNIKATION MELLAN NÄTVERKSFUNKTIONER
Enligt 3GPP Rel-15 (TS 33.501), kommunicerar nätverksfunktionerna (NF) i den tjänstebaserade arkitekturen (SBA) i 5G Core (5GC) med varandra baserat på TLS-baserad ömsesidig autentisering och transportsäkerhet samt OAuth 2.0-autentisering. Det här grundar sig i att det finns en PKI i nätverket, där en CA utfärdar certifikat till varje klient.
5GC-arkitekturen med mikrotjänster och continuous deployment och att TLS används för alla förbindelser mellan NF, innebär också att det behövs en automatiserad process för att utfärda och hantera certifikat.
PKI FÖR VIRTUALISERINGSPLATTFORMAR
I tjänstebaserade 5G-nätverk ställs hårda myndighetskrav som gäller bland annat certifikathantering.
För att inte kringgå säkerheten, är det viktigt att certifikat som används av virtualiseringsplattformar, såsom Kubernetes, har sin rot i en officiellt hanterad extern CA snarare än att automatgenereras av virtualiseringsplattformen själv.
SUCI PKI
Abonnentens identitet (IMSI) skickas inte i klartext över 5G-nätverket. Istället används en krypterad identitet, Subscription Concealed Identifier (SUCI).
Denna asymmetriska kryptering baseras på PKI där den privata nyckeln sparas i nätverksfunktionen User Data Management (UDM) och den publika nyckeln på SIM-kortet.
Hur fungerar det?
Nexus Smart ID Certificate Manager kan utfärda och hantera livscykeln för säkra identiteter baserade på PKI-certifikat via standardiserade certifikathanteringsprotokoll, såsom ACME, SCEP, EST och CMP.
Nexus Smart ID och GO IoT-tjänsten som baseras på Smart ID, bygger på mogna, skalbara, pålitliga, kontinuerligt testade och underhållna produkter. Lösningen stödjer multipla CA:n och hjälper dig att anpassa PKI-hierarki, administration och rapportering efter dina behov. Nexus lösning erbjuder automatiseringsmöjligheter och används av många organisationer världen över.
Varför Nexus?
Nexus plattform för IoT PKI har följande viktiga fördelar: